Redmine 4.2.0以前のGitアダプタの任意ファイル読み取り脆弱性 (#35085) 対応済みのご報告

2021/04/27

4月27日(日本時間)、脆弱性の修正を含むRedmine 4.2.1、4.1.3、4.0.9 がリリースされました。本リリースにより、リモートの攻撃者がGitアダプタの脆弱性を悪用してサーバ上の任意のファイルを読み取ることができる脆弱性が修正されました。

My Redmineのサービスで使用しているRedmine互換の「RedMica」(ファーエンドテクノロジー版Redmine)については、すでに修正が適用済みであることをご報告いたします。

なおMy Redmineの環境ではシステム構成上、修正適用前の状態でもこの脆弱性を悪用してサーバ上のファイルを取得することは不可能でした。

公表された脆弱性

Arbitrary file read in Git adapter (#35085)

修正内容

当社の対応

2021年4月27日、My Redmineのすべてのお客様の環境に対して本脆弱性の修正を適用しました。

※現時点では「管理」→「情報」画面の「RedMica version」に「1.2.1.stable (based on Redmine 4.1.2.devel.20401)」と表示されますが、実際にはRedmine 4.1.3に含まれるすべての脆弱性修正が適用済みです(まもなくリリースされるRedMica 1.2.2相当)。

My Redmineの資料をダウンロードする
導入事例をダウンロードする